Kritische Infrastruktur: Österreich und das Blackout-Risiko

Stellen Sie sich vor: Es ist Jänner. Draußen sind es minus 10 Grad. Der Strom fällt aus — nicht für ein paar Stunden, sondern für Tage. Keine Heizung, kein Mobiltelefon-Netz (die Basisstationen laufen auf Akku, der nach 4–8 Stunden leer ist), keine Zapfsäulen (keine Pumpen), kein Geldautomat, kein Wasserwerk (keine Pumpen), keine Krankenhausnot-Aggregate nach 72 Stunden.

Das klingt nach Katastrophenfilm. Es ist eine realistische Risikoplanung, die in Österreich strukturell fehlt. Der Österreichische Rechnungshof hat in seinem Bericht 2025 zur Blackout-Vorsorge festgestellt: Es gibt keine fertiggestellte, koordinierte nationale Blackout-Bewältigungsstrategie für Österreich.

Rechnungshof-Befund 2025

Der Österreichische Rechnungshof stellte in seiner Prüfung der nationalen Blackout-Vorsorge fest, dass zwar Teilkonzepte auf Bundes-, Landes- und Gemeindeebene existieren, diese aber nicht koordiniert sind und eine übergreifende nationale Strategie zum Zeitpunkt der Prüfung nicht fertiggestellt vorlag. Die Empfehlungen umfassen unter anderem die Erstellung eines nationalen Koordinierungsrahmens, klare Zuständigkeiten über Ressortgrenzen hinweg sowie die Verpflichtung kritischer Infrastrukturbetreiber zu überprüfbaren Resilienz-Mindeststandards.

I. Was ist ein Blackout — und warum ist er anders als ein Stromausfall

Der Begriff „Blackout" wird im sicherheitspolitischen Kontext präzise verwendet: Es geht nicht um den lokalen Ausfall nach einem Sturm, der nach einigen Stunden behoben ist. Es geht um den großflächigen, länderübergreifenden Zusammenbruch des Verbundnetzes — jenes komplexen Systems, das Europa von Portugal bis Polen mit Strom versorgt.

Das europäische Verbundnetz — betrieben von ENTSO-E, dem Verband europäischer Übertragungsnetzbetreiber — ist ein Meisterwerk der Ingenieurskunst und gleichzeitig ein systemisches Risiko. Es funktioniert nur, wenn Einspeisung und Verbrauch in Echtzeit balanciert sind. Wenn die Balance kippt, kann sich ein Kaskadenausfall mit hoher Geschwindigkeit über ganze Regionen ausbreiten.

Den bisher größten europäischen Stromausfall gab es am 4. November 2006: Ein Fehler beim deutschen Übertragungsnetzbetreiber E.ON Netz führte innerhalb von Minuten zu einem kaskadenartigen Ausfall, der 15 Millionen europäische Haushalte für bis zu zwei Stunden ohne Strom ließ — von Portugal über Frankreich bis in die Türkei. Das war ein Unfall. Kein gezielter Angriff.

Was passiert, wenn ein gezielter Angriff auf mehrere kritische Knotenpunkte gleichzeitig stattfindet — etwa ein koordinierter Cyber-Angriff kombiniert mit physischer Sabotage —, ist eine der zentralen Fragen europäischer Sicherheitsplanung. Die Antwort ist unbequem: Niemand weiß es genau, weil es noch nie passiert ist. Und weil niemand alle Konsequenzen eines langen, länderübergreifenden Ausfalls vollständig modelliert hat.

II. Das Kaskadenrisiko — warum alles zusammenhängt

Moderne Gesellschaften sind nicht parallel organisiert — sie sind interdependent. Das bedeutet: Wenn ein System ausfällt, ziehen andere Systeme nach. Herbert Saurugg, österreichischer Experte für kritische Infrastruktur und Blackout-Szenarien, beschreibt diese Interdependenz mit einem einfachen Modell:

Strom → Wasser: Wasserwerke und Kläranlagen brauchen Strom für Pumpen. Nach wenigen Stunden ohne Strom sinkt der Wasserdruck; nach 12–24 Stunden kann die Wasserversorgung in urbanen Gebieten zusammenbrechen.
Strom → Kommunikation: Mobilfunk-Basisstationen laufen auf Notstromaggregaten — typischerweise für 4 bis 8 Stunden. Danach ist das Netz offline. Festnetz hält länger, aber auch nicht unbegrenzt.
Strom → Logistik: Zapfsäulen brauchen Strom. Keine Zapfsäule = kein Kraftstoff für Feuerwehr, Rettung, Polizei, Lebensmitteltransport. Nach 24–48 Stunden beginnen Versorgungsketten zusammenzubrechen.
Strom → Gesundheit: Krankenhäuser haben Notstromaggregate — für 72 Stunden im Regelfall. Für Intensivstationen, Operationen, Beatmungsgeräte, Medikamentenkühlung. Nach 72 Stunden ohne externe Versorgung werden Entscheidungen über Triage getroffen werden müssen.
Strom → Heizung: Moderne Gasheizungen brauchen Strom für Steuerung und Pumpen. Bei Kälte ist ein Stromausfall auch ein Heizungsausfall — mit allen Konsequenzen für vulnerable Bevölkerungsgruppen.

      Herbert Saurugg: „Ein Blackout von mehr als 72 Stunden in einem größeren Gebiet hätte Konsequenzen, für die wir keine gesellschaftliche Vorbereitung haben. Es ist kein Thema des Ob, sondern des Wann und des Wie gut wir vorbereitet sind."
      (Sinngemäß nach Saurugg, Vortrag Vienna Security Conference 2024)
    

III. Die Bedrohungslandschaft — von Zufall zu Absicht

Die Bedrohungen für kritische Infrastruktur in Europa haben sich seit 2022 fundamental verändert. Es gibt drei Kategorien:

1. Naturereignisse und technisches Versagen

Extreme Wetterereignisse — Hitzewellen, Winterstürme, Überschwemmungen — sind die häufigste Ursache regionaler Ausfälle. Der Klimawandel erhöht Frequenz und Intensität. Das Verbundnetz ist für normale Schwankungen ausgelegt, nicht für simultane Extremereignisse in mehreren Regionen.

2. Cyber-Angriffe

Seit dem russischen Angriff auf das ukrainische Stromnetz 2015 und 2016 (Operation Industroyer/Sandworm) ist bewiesen, dass staatliche Akteure in der Lage sind, Industriesteuerungssysteme (SCADA/ICS) von außen anzugreifen und physische Schäden zu verursachen. Österreichische Energieunternehmen sind Teil dieses vernetzten Systems.

Die ENISA (EU-Cybersicherheitsbehörde) dokumentiert in ihrem Jahresbericht 2025 einen signifikanten Anstieg von Cyber-Angriffen auf Energie- und Wasserinfrastruktur in Europa — von 50 dokumentierten Vorfällen 2022 auf über 200 im Jahr 2024.

3. Physische Sabotage

Die Sprengung der Nord-Stream-Pipelines im September 2022 hat gezeigt: Kritische Infrastruktur, auch in vermeintlich sicheren Gewässern, ist verwundbar. Seither sind in Europa mehrere Vorfälle dokumentiert, bei denen Unterwasserkabel und Bahninfrastruktur beschädigt wurden — teilweise unter ungeklärten Umständen.

Im Jänner 2025 wurde ein Baltisches Unterwasserkabel beschädigt; als Verursacher wird ein russisches Schiff untersucht. Der Vorfall ist symptomatisch: Die Grenze zwischen Unfall und gezielter Sabotage ist im hybriden Konfliktumfeld bewusst verwischt.

IV. Was Österreich hat — und was fehlt

Österreich ist nicht schutzlos. Es gibt:

Die KIRAS-Förderungsplattform für Sicherheitsforschung, inkl. Infrastrukturresilienz
Den ABC-Abwehrstab des Bundesheers für CBRN-Gefahren
Landeswarnzentralen und Katastrophenschutzpläne auf Länderebene
Das Bundesheer als subsidiäre Kraft im Katastrophenschutz
Notstromaggregate in Krankenhäusern und kritischen Einrichtungen

Was fehlt, laut Rechnungshof:

Eine koordinierte nationale Strategie, die alle Ebenen (Bund, Länder, Gemeinden) und alle Ressorts (Energie, Innen, Verteidigung, Gesundheit, Infrastruktur) verbindet
Klare Zuständigkeiten und Entscheidungsketten im Krisenfall — wer entscheidet was, wann, in welcher Reihenfolge
Verbindliche Resilienzstandards für private Betreiber kritischer Infrastruktur (Energieversorger, Telekommunikation, Wasserwerk-Betreiber)
Bevölkerungsvorsorge-Kampagnen — die meisten Österreicher haben weniger als 48 Stunden Wasservorrat und keine alternativen Kommunikationsmittel

V. Die EU-Dimension — NIS2 und die neue Richtlinie

Auf EU-Ebene gibt es erhebliche regulatorische Entwicklungen. Die NIS2-Richtlinie (Network and Information Security), die ab Oktober 2024 in nationales Recht umzusetzen ist, verschärft die Anforderungen an Betreiber kritischer Infrastruktur erheblich:

Deutlich ausgeweiteter Anwendungsbereich (von 7 auf 18 Sektoren)
Verpflichtende Risikoanalysen und Sicherheitsmaßnahmen
Meldepflicht für Sicherheitsvorfälle (24 Stunden)
Persönliche Haftung von Geschäftsführern bei Verstößen
Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes

Parallel dazu gibt es die CER-Richtlinie (Critical Entities Resilience), die physische Resilienz stärkt. Zusammen bilden NIS2 und CER einen ambitionierten europäischen Rahmen.

Die Umsetzung in Österreich ist teilweise im Rückstand. Das ist kein Einzelfall — mehrere EU-Mitglieder haben die NIS2-Frist verpasst. Aber es ist ein Versäumnis, das konkrete Schutzlücken hinterlässt.

VI. Was kann ich persönlich tun?

Wer nicht auf staatliche Schutzmaßnahmen warten möchte, kann selbst vorsorgen. Das Bundesministerium für Inneres empfiehlt einen Notfallrucksack und Vorräte. Konkret sinnvoll:

Wasservorrat: Minimum 3 Liter pro Person und Tag, für 3–7 Tage. Trinkwasserkanister oder befüllte PET-Flaschen.
Lebensmittel: Haltbare Vorräte für 7–14 Tage. Keine komplizierte Küche nötig — Dose, Riegel, Getreide.
Kommunikation: Batterie- oder Kurbelradio für Notfallmeldungen. Notfallnummern auf Papier (Handy leer = kein Telefonbuch).
Bargeld: Karten- und Online-Banking funktioniert ohne Strom und Mobilnetz nicht. Bargeldreserve für 1–2 Wochen.
Licht und Wärme: Taschenlampen, Kerzen, Schlafsäcke, Decken.
Medikamente: Vorrat von mindestens 2–4 Wochen für regelmäßig benötigte Medikamente.
Wissen: Die wertvollste Ressource. Erste-Hilfe-Kurs, Grundkenntnisse Wasseraufbereitung, Treffpunkte mit Familie vereinbaren (ohne Handy).

Das klingt nach Prepper-Kultur. Es ist Bürgerverantwortung. Die Schweiz zum Beispiel verpflichtet Lebensmittelhändler zur Pflichtbevorratung und empfiehlt Bürgern einen Notvorrat — nicht als Panikmache, sondern als zivilgesellschaftlicher Standard.

VII. Österreich und die strategische Konsequenz

Das Fehlen einer nationalen Blackout-Strategie ist kein technisches Versäumnis — es ist ein politisches. Es erfordert:

Politisches Commitment: Eine ressortübergreifende Taskforce unter Bundeskanzleramt-Koordination mit Mandat und Budget.
Rechtlichen Rahmen: Verbindliche Resilienzstandards für kritische Infrastrukturbetreiber mit klaren Sanktionen bei Nichterfüllung.
Gesellschaftliche Kommunikation: Ehrliche Kommunikation über Risiken und Vorsorge — ohne Panikmache, aber auch ohne Beschwichtigung.
Investitionen: In Notstromversorgung öffentlicher Einrichtungen, in Redundanz kritischer Kommunikationsinfrastruktur, in dezentrale Energieversorgung (Solar + Speicher als Resilienzfaktor).
EU-Koordination: Aktive Teilnahme an europäischen Resilienz-Übungen (wie ENISA CYBER EUROPE) und bilaterale Koordination mit Bayern, Schweiz, Slowenien, Ungarn.

      Fazit: Das Blackout-Risiko ist real. Es ist keine Frage des Ob, sondern des Wann und der Vorbereitung. Österreich hat einen Rechnungshofbericht, der auf klaffende Lücken hinweist. Was fehlt, ist der politische Wille, diese Lücken zu schließen — und zwar jetzt, nicht nach dem ersten großen Ereignis.
    

Quellenverzeichnis:
Österreichischer Rechnungshof: Prüfbericht Blackout-Vorsorge (2025) · ENTSO-E: European Network of Transmission System Operators · ENISA: Threat Landscape for Energy Sector (2025) · WIRED: Sandworm / Industroyer — Ukraine Power Grid Attack · EU: NIS2-Richtlinie · EU: CER-Richtlinie (Critical Entities Resilience) · BMI Österreich: Krisenvorsorge-Empfehlungen · Herbert Saurugg: Vorträge und Publikationen zu Blackout-Szenarien (2022–2025)

Kritische Infrastruktur:Österreich und das Blackout-Risiko